(Resolvido)Como liberar o Outlook junto com o squid?
-
Oi pessoal, blz?
Meu pfsense está configurado para trabalhar em https, configurei o squid(porta 3128) e o squidguard e as regras de bloqueios e permissões estão funcionando.
O squid não está no modo transparente, o método de autenticação que estou usando é o LOCAL.
O problema é que o Outlook não está funcionando. Já tentei configurar regras de firewall usando as portas 25(SMTP) e 110(POP3), mas não deu certo.
Minhas dúvidas são as seguintes:
Onde devo criar estas regras na WAN ou na LAN?
Na configuração das portas devo usar 25 e 110, ou 465 e 995, já que, o pfsense está configurado para https?
Não sei em que ordem devo configurar essas regras, se antes ou depois da regra do proxy.
Enfim, estou um pouco perdido.
valeu.
-
Só uma correção: o squid está usando a porta 8080.
-
Onde devo criar estas regras na WAN ou na LAN?
Na configuração das portas devo usar 25 e 110, ou 465 e 995, já que, o pfsense está configurado para https?
Não sei em que ordem devo configurar essas regras, se antes ou depois da regra do proxy.
adert,
O Pfsense é um firewall statefull, então por padrão toda e qualquer regra é criada na interface de origem da comunicação, ou seja, se o seu cliente outlook vai na Internet buscar emails, você cria a regra onde o cliente do outlook esta(LAN).
Se é a Internet que manda emails para seu servidor interno, você libera o acesso na WAN e assim por diante.
A configuração da interface web do pfsense(80 ou 443) não interfere nas suas regras de squid e email. O ssl é somente para criptografar a comunicação entre sua máquina e o servidor web do pfsense.
Nota importante:
-
Confira as configurações de 'outbound nat' do seu pfsense, geralmente o 'nat automatico de saida' é suficiente para pequenas redes.
-
Para um bom entendimento das regras, é importantíssimo um bom entendimento de TCP/IP.
att,
Marcello Coutinho
-
-
Olá Marcelloc,
Então na minha LAN devo criar uma regra usando a porta SMTP, já que este é o protocolo de envio de mensagens. E na minha WAN devo criar uma regra usando a porta POP3, pois este é o protocolo de recebimento.
É isso?
Outra dúvida é que meu squid exige autenticação(usuario e senha) para navegar. É possível usar o Outlook com o squid configurado desta forma?
se possível, como faço?Valeu aí marcelloc
-
Se você vai no servidor enviar smtp e buscar pop3, as duas regras ficam na LAN, afinal é o cliente que solicita as duas ações.
Com relação ao outlook, ele use as configurações de proxy do internet explorer quando o conteúdo do email inclui páginas de internet. Fora isso ele não precisa de internet/squid.
-
Marcelloc, tá quase lá. Fui seguindo tuas dicas em relação as regras e tá quase tudo como o desejado.
O problema é o seguinte:
Para fazer com que os usuários naveguem somente pelo proxy, jogo aquela regra LAN DEFAULT pra ser a última regra e marco block para ela, assim as pessoas só acessam a internet se configurarem o proxy corretamente. Só que dessa maneira o Outlook não funciona.
Porém quando marco pass para essa regra, o Outlook funciona perfeitamente, mas em compensação os usuarios conseguem navegar sem proxy e aí se livram dos bloqueios.
As regras da LAN estão como na imagem que segue.
A imagem mostra a segunda situação, onde o outlook funciona, mas as pessoas conseguem navegar sem ser pelo proxy( e isso eu não quero).
Será que tu consegue perceber onte está o meu erro?
valeu pela ajuda.
-
Mude a regra do smtp e pop3 para origem lannet e destino seu servidor de smtp/pop3.
Assim Voce diz que qualquer cliente de sua rede pode acessar seu servidor de smtp/pop3.
Depois disso pode bloquear a outra regra.
-
Marcelloc, tentei aqui e nao funcionou.
pesquisando um pouco mais vi que tem gente que, usando o redirecionamento da porta http para a porta do proxy, consegue forcar o uso do proxy, sem desabilitar a regra LAN DEFAULT.
tu acha que dar certo
tu sabe fazer
valeu.
-
Proxy transparente vai funcionar só para a HTTP, HTTPS não.
Para evitar dois cenarios, é melhor deixar todo mundo marcando o proxy mesmo.
att,
Marcello Coutinho -
Cara, a luta ta grande viu, tem hora que dar certo e depois para de funcionar.
ja tentei muita coisa, minha ultima cartada vai ser reinstalar o pfsense e aos pouco ir adicionando as suas funcionalidades pra perceber em que momento a coisa desanda.
Qualquer outra dica e bem vindo.
valeu.
-
Esquisito isso.
Da uma olhada se Nao tem 'confusao' de dns no seu pfsense.
Vai na console e da um cat /etc/resolv.confSe o squid hora consegue resolver nome ora não, Voce vai ver este tipo de instabilidade.
Com relação as regras, pode despreocupar. Seu cenário é bem simples.
Att,
Marcello Coutinho -
Olá, marcelloc
Tou passando só pra dizer que o problema do outlook foi solucionado, mas antes vou dar uma recapitulada como estava minha situação.
Para forçar o uso do proxy, mantinha a regra Lan default marcada como block, mas em compensação o outlook não funcionava. Então marcava pass na regra Lan default para que o outlook funcionasse, porém os usuários conseguiam navegar sem passar pelo proxy.
A solução que deu certo foi criar uma regra de LAN bloqueando o tráfico pela porta 80, com isso foi possível deixar a regra Lan Default marcada como pass, o que libera o outlook. E como foi criada esta regrar que bloqueia a porta 80, os usuários só conseguem navegar pelo proxy.
Marcelloc, mais uma vez obrigado pelo empenho.
OBS: no post de abertura meu pfsense trabalhava em https, mas quando reinstalei optei por http, por isso neste post falei em bloquear porta 80.
-
Ok.
So tenha em mente que a próxima evolução dos seus usuários é navegar via https para pular o proxy.